Cómo ocultar el inicio de sesión URL de protección global (FQDN o IP/sslmgr) para obtener información mientras solo permite unos pocos usuarios
Objective
Algunos escáneres de seguridad mientras realizan escaneos en el Firewall pueden descubrir la página de inicio de sesión de protección global. Dado que esto URL es "address/sslmgr", lo que significa que la ruta es "sslmgr"FQDN-IP- al final, la confusión más común es que la página de inicio de sesión muestra un nombre de proceso.
Queremos ocultar la página de inicio de sesión de protección global "FQDN o IP /sslmgr", y solo permitir que unas pocas IP accedan a esta página.
Environment
- Palo Alto Firewall
- Configuración de Global Protect
Procedure
Para lograr nuestro objetivo, podemos crear una costumbre URL y utilizarla en la seguridad policy. En este artículo, estamos bloqueando el acceso a las páginas 10.46.43.25/sslmgr y 10.46.43.25/global-protect/login-esp.
Tenga en cuenta que las IP direcciones se pueden reemplazar con el FQDN nombre como "ejemplo[.] com/sslmgr."
Siga los pasos a continuación para crear la configuración.
- Cree una categoría personalizada URL de la siguiente manera para la página para la que queremos bloquear el acceso como ->Objetos-> cliente -> categoría -> nombre -> < cualquier nombre que desee. como GUIGP-login-page-block>URL
- En la entrada, haga clic en "Agregar botón" y agregue la ruta completa URL para la protección global.
- FQDN< o IP/sslmgr>
- FQDN< o IP-dirección/global-protect/login.esp>
- Ahora cree una seguridad policy para negar a todos esta dirección y permita solo unos pocos seleccionados.
- GUI-> policy ->Crea un y dale un policy nombre.
- En la pestaña Dirección de origen, agregue las direcciones a las que se les permite acceder a la página. Una vez que agregue la dirección, haga clic en el cuadro "Negar".
- Seguridad policy -> la pestaña usuario puede seleccionar cualquiera, y la dirección de destino también seleccione cualquiera.
- Seguridad policy-> aplicación también se selecciona cualquiera.
- Seguridad Policy-> Servicio /URL categoría, seleccione la categoría url del cliente que creamos 'login-page-block'GP-.
- Seguridad Policy->acción, seleccione denegar.
- Ahora cualquiera que quiera acceder a la página será bloqueado, excepto los pocos IP que hemos agregado en la pestaña de fuente: 10.47.125.7 y 10.101.102.96
- Cualquier otro usuario por cualquier otro IP será bloqueado y recibirá el siguiente mensaje.
Additional Information
Nota: El sslmgr se utiliza en la protección global para cumplir OCSP y consultar solicitudes por demonios y dataplanes. sslmgr básicamente administra el protocolo de estado de certificado en línea y CRL la lista de revocación de certificados, por lo que deshabilitar sslmgr no es una opción ya que se espera que el comportamiento de Global protect /global-protect/login.esp también forme parte del portal
de protección global En caso de que desee ver la página de URL bloqueo, Puede utilizar la misma categoría y URL perfil personalizadosURL.
- Cree la configuración personalizada URL como se indica anteriormente
- Modificar la acción personalizada URL en un URL-perfil
- Cree la seguridad policy y seleccione las IP de origen como se indica arriba y seleccione negate.
- Seleccione la dirección de destino como GP dirección.
- En la pestaña de acción-> seleccionamos "permitir" y en el perfil-> seleccionamos -> URL-perfil que hemos modificado.
- Ahora cuando cualquier usuario (que no sean las IPs que hemos permitido) será bloqueado